Tabla de Contenidos
Dark Pink: Un Enigma Ciberespía al Descubierto
La expansión de «Dark Pink», un misterioso conjunto de ciber-entusiastas presuntamente patrocinados por el estado, ha capturado la atención de la comunidad de seguridad global. Este grupo ha intensificado sus esfuerzos recientemente, aumentando tanto el alcance geográfico como la diversidad de sus objetivos, y ha llevado a cabo al menos dos ataques notables desde principios de año.
El Auge de Dark Pink
Según las afirmaciones del grupo de seguridad basado en Singapur, Dark Pink ha estado operando desde mediados de 2011, concentrándose principalmente en objetivos en la región de Asia-Pacífico. Sin embargo, recientes descubrimientos sugieren que su alcance está evolucionando y expandiéndose.
Las Nuevas Víctimas de Dark Pink
Investigadores del Grupo IB han identificado cinco nuevas víctimas de Dark Pink desde su investigación de enero de 2023, llevando la lista total de víctimas a 13. Las últimas víctimas incluyen una organización militar en Tailandia, agencias gubernamentales en Brunei e Indonesia, una organización sin fines de lucro en Vietnam y una institución educativa en Bélgica. Esta expansión de blancos potenciales indica que el alcance real de los ataques de Dark Pink podría ser aún más amplio.
Herramientas y Tácticas de Dark Pink
Dark Pink continúa mejorando su arsenal de herramientas para permanecer indetectable. El grupo utiliza estrategias sofisticadas como el envío de imágenes ISO en correos electrónicos de phishing y el uso de .dll Sideloting para lanzar su malware personalizado.
El malware de Dark Pink, TelePowerBot y Kamikakabot, parece diseñado para robar archivos confidenciales de las redes gubernamentales y militares, pudiendo «infectar incluso dispositivos USB conectados a las computadoras comprometidas».
Dark Pink y las Actualizaciones de Kamikakabot
Dark Pink ha actualizado recientemente Kamikakabot, dividiendo su funcionalidad en dos partes: control de dispositivos y robo de datos. Esta estrategia bifurcada y su implementación directa en la memoria, ayuda al grupo a evitar la detección.
El Proceso de Exfiltración de Datos de Dark Pink
El procedimiento de recolección de datos de Dark Pink no ha cambiado, compila una lista de archivos que podría tomar de los navegadores web instalados y luego los copia a una carpeta designada antes de crear un archivo .zip. Se presume que este archivo se exfiltra, proporcionando a los ciber-espías los detalles de inicio de sesión que necesitan para explotar más.
Innovación en la Exfiltración: Dark Pink Cambia el Juego
En una evolución reciente de sus técnicas, Dark Pink parece haber desarrollado nuevos métodos para exfiltrar datos, abandonando el uso común de correo electrónico o Dropbox. En uno de sus ataques recientes, los delincuentes utilizaron Webhook, lo que les permitió establecer puntos finales temporales y exfiltrar los datos robados a través de HTTP.
El Cambio a Servidores de Windows
En otro desarrollo intrigante, Dark Pink reemplazó el webhook con un servidor de Windows en otro ataque. Aunque el motivo detrás de este cambio sigue sin estar claro, destaca la adaptabilidad y la capacidad de innovación de este grupo.
Dark Pink: Un Riesgo Continuo
La evaluación de los expertos en ciberseguridad de Singapur es clara: Dark Pink «presenta un riesgo continuo para las organizaciones». La investigación indica que los cibercriminales detrás de estos ataques siguen actualizando sus herramientas existentes para permanecer sin ser detectados.
Articulo Similar: Kimsuky y RandomQuery: El Arsenal de Ciberespionaje de Corea del Norte
